1. デフォルト管理者ユーザー名 admin を狙う
WordPress インストール時に、管理者アカウント名を決めることができます。
ただし、古いバージョンの WordPress では初期アカウントが admin 決めうちでした。
またバージョン3.6でも、アカウント名を自分で指定しない場合は、admin になります。
このため、管理者ユーザー名 admin を狙う、という攻撃が行われています。

2. 弱いパスワードでも良い
WordPress はパスワードの強度をチェックする機能を持っています。

http://www.rescuework.jp/blog/password-strength.html

しかし、WP はパスワードの強度をユーザーに通知するものの、
短いパスワードやユーザー名と同じパスワードを許可しています。

3. ログイン試行回数に制限が無い
銀行のキャッシュカード等は、一定回数間違えると、アカウントがロックされます。
この場合、パスワードを片っ端から試すことはできません。
しかし、WordPress はログイン試行回数を制限していません。
このため、ログイン成功するまで試す、という攻撃が行いやすい、と言えます。


/**
 * 関数を知る  shortcode_exists
 */


shortcode_exists は、ショートコードが存在するかどうかをチェックする関数です。
WordPress 3.6 で導入されました。

----------------------------------------------------------------------
shortcode_exists(string $tag)
$tag ... (文字列) (必須) チェックされるショートコード名
----------------------------------------------------------------------
if ( shortcode_exists( 'gallery' ) ) {
  echo do_shortcode( '' );
}
----------------------------------------------------------------------

ショートコードが存在しない場合、do_shortcode()関数は引数をそのまま表示します。
エラーにこそなりませんが、 と表示されるのは好ましくないでしょう。

shortcode_exists()関数で、ショートコードが存在するかどうかチェックすると、
「gallery というショートコードが無い場合、 がそのまま表示される」
ということが避けられます。


+-------------------     フォーラムから学ぼう     ---------------------+
 固定ページでmt_rand

http://ja.forums.wordpress.org/topic/24268

+--------------------------------------------------------------------+


ランダムな値を取得する mt_rand() 関数が PHP に用意されています。

フォーラムでは、キャッシュプラグインを使うときの注意点が紹介されています。
こういった、毎回異なる表示をさせる場合は、
HTML 出力をキャッシュさせると期待通りに動きません。


======================================================================
Q & A
メルマガ読者からの質問を受けるコーナーです。
正式スタート後に開始します。
質問は mizuno@rescuework.jp までどうぞ。


==================     次回のメルマガ予定     ========================
次回は、「CSRF」を取り上げます。


+--------------------------------------------------------------------+
  発行: レスキューワーク株式会社
  執筆: 水野 史土
  問い合わせ: mizuno@rescuework.jp
+--------------------------------------------------------------------+

Pages: 1 2